微软近期发布提醒,一个关乎几乎所有现代 Windows 系统的证书更新周期即将到来。当前 Windows 10 与 Windows 11 系统赖以维系第三方软件、驱动及系统更新安装的三张核心安全证书,将从 2026 年 6 月 开始陆续到期。
微软更是用“准备好迎来第一次全球大规模的安全证书更新吧”来形容此次变更的重要性。如果未能及时完成证书替换,部分关键功能将面临失效风险。
哪些证书即将到期?
目前广泛使用的三张证书均为2011年颁发,拥有15年有效期,其具体到期时间如下:
- KEK CA 2011
- UEFI CA 2011
- Windows Production PCA 2011
这些证书将在 2026 年 6 月和 10 月 正式到期,用户必须在此之前确保系统更新至新的证书。
受影响的系统范围
此次证书更新影响范围极广,几乎涵盖了自2012年以来发布的所有主流 Windows 系统,包括但不限于:
- Windows 10(所有支持中的版本)
- Windows 11(所有版本)
- Windows Server 2025, 2022, 2019, 2016, 2012 R2, 2012
- 所有长期服务通道(LTSC)版本
无论是物理服务器、个人电脑还是虚拟机,只要运行上述系统,均会受到影响。目前已知仅 2025 年发布的 Copilot+ PC 已预装新证书,无需额外操作。
证书过期会导致什么问题?
这些证书是 Windows 生态中软硬件信任链的基石。一旦过期,将引发一系列连锁反应:
- Secure Boot(安全启动)功能直接失效,这属于核心的 安全 启动验证环节。
- 系统将无法安装来自微软的安全更新,使设备暴露在漏洞风险中。
- 2026年6月之后,使用新证书签名的第三方软件将无法安装和运行。
- 使用新证书签名的硬件驱动程序也无法安装,可能导致新硬件无法使用。
如何检查与应对?
微软已在最新的 Windows Security 工具中更新了可视化状态指示功能,方便用户自查。
检查步骤:
- 打开“Windows 安全中心”。
- 进入“设备安全性”。
- 点击“安全启动详细信息”。
您会看到 Secure Boot 状态旁出现一个带颜色的图标,这代表了您设备证书的当前状态:
- 绿色图标:恭喜!您的设备已获取所有必要的新安全启动证书,无需任何操作。
- 黄色图标:您的设备仍在使用的旧证书,且系统无法自动更新证书。这通常是由于固件(如UEFI/BIOS)限制所致。建议您联系电脑或主板制造商,查询并更新最新的 BIOS 固件。这个过程涉及到 系统 底层的更新,对于保持设备长期稳定运行至关重要。
- 红色图标:这是一个关键警告。您的设备无法接收到此更新。随着旧证书到期日临近,问题会愈发严重。这通常是因为系统更新服务被禁用或存在权限问题,需要您手动检查并修复 Windows Update 服务。
对于企业和IT管理员而言,现在就需要开始规划大规模的系统与固件更新策略,以确保在截止日期前平稳过渡。普通的个人用户也应及时关注系统更新提示,并留意设备制造商的固件更新公告。如果你在排查过程中遇到了棘手的 网络 或配置问题,也可以到 云栈社区 的相关板块与众多技术爱好者一同交流探讨。 | 
发表于 前天 01:39
|
查看: 9|
回复: 0
